Anulación de la codificación HTML [cerrado]

Question

Anulación de la codificación HTML [cerrado]

#1 de Sjoerd (2 votos)

0

Estoy probando una aplicación web donde el servidor acepta caracteres especiales como @#$* , pero cuando inserto comillas dobles / simples, el servidor HTML lo codifica.

("test&quot;&gt;%3Cscript%3Ealert(&#39;XSS&#39;)%3C%2Fscript%3E")

es la salida del servidor.

¿Cómo puedo omitir esta codificación HTML?

html xss encoding

pregunta white hats 10.01.2017 - 05:54

fuente

1 respuesta

Lea otras preguntas en las etiquetas html xss encoding

Si instalo el certificado Burp en mi sistema e intento acceder al sitio certificado por HSTS, el sitio funcionará, ¿es seguro? ¿Cómo solicita una persona gmail.com de mi servidor?

score 2 · Answer 1

2

Si desea explotar XSS, debe poder insertar HTML en la página. Si los caracteres < y > se escapan, no es posible inyectar una etiqueta. Si los caracteres " y ' están indicados, no es posible inyectar un atributo. Así que parece que la página que estás probando está a salvo de XSS.

respondido por el Sjoerd 10.01.2017 - 09:23

fuente